Hallo zusammen,

ich habe seit mehreren Tagen Probleme mit meinem Laptop. Da ich alleine nicht mehr Herr der Lage werde bitte ich um Eure Unterstützung.

BS: Windows XP

Ich habe versucht die vorgehensweise des Forums (Anleitung) so gut es geht einzuhalten. Allerdings komme ich lediglich bis zum CCleaner.
Malwarebytes lässt sich nicht starten. Ebenso Antivir und Spybot. Eine Systemwiederherstellung ist auch nicht möglich.
Im abgesicherten Modus kann der PC auch nicht gestartet werden.
Bei dem Versuch meine Daten zu sichern friert er nach einiger Zeit ein.

Wäre toll wenn mir jemand helfen könnte.

Vielen Dank schonmal

Gruß
Ben

Hi,

lass mal GMER laufen...
Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hallo Chris,

vielen Dank für die schnelle Antwort.
GMER lief durch, Fragen kamen keine.
Hier der Bericht:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-24 22:10:16
Windows 5.1.2600 Service Pack 3
Running: 023jwqe9.exe; Driver: C:\DOKUME~1\maxmustermann\LOKALE~1\Temp\fwrdypob.sys


---- System - GMER 1.0.15 ----

INT 0x01 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F70664F6
INT 0x03 \SystemRoot\system32\DRIVERS\ati2mtag.sys (ATI Radeon WindowsNT Miniport Driver/ATI Technologies Inc.) F706659C

Code 8A7C10C0 ZwEnumerateKey
Code 8A7C02D8 ZwFlushInstructionCache
Code 8A7C7B0E IofCallDriver
Code 8A7C8ACE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A7C7B13
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A7C8AD3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6814 5 Bytes JMP 8A7C02DC
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF2 4 Bytes JMP 8A7C10C4
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6EF0000, 0x175176, 0xE8000020]
init C:\WINDOWS\System32\Drivers\ItSDisk.sys entry point in "init" section [0xF69D8360]
.text C:\WINDOWS\system32\drivers\ACEDRV08.sys section is writeable [0xAAE6F000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV08.sys entry point in ".pklstb" section [0xAAEB3000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV08.sys unknown last section [0xAAECF000, 0x8E, 0x42000040]
.reloc C:\WINDOWS\system32\drivers\acedrv11.sys section is executable [0xAA118480, 0x306DD, 0xE0000060]
? C:\DOKUME~1\maxmustermann\LOKALE~1\Temp\fwrdypod.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\iTunes\iTunesHelper.exe[160] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C6000A
.text C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[180] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00EB000A
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[308] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A5000A
.text C:\Programme\Bonjour\mDNSResponder.exe[312] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A6000A
.text C:\WINDOWS\ATK0100\HControl.exe[328] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0117000A
.text ...
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[2116] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)
.text c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe[2184] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 009D000A
.text C:\Programme\Windows Desktop Search\WindowsSearch.exe[2276] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00AD000A
.text C:\WINDOWS\system32\ACEngSvr.exe[2336] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C7000A
.text C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe[2396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00CC000A
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[2436] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C8000A
.text ...
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 4119541D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126D6EC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136441F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364351 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413643BC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364222 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364284 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41364482 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 413642E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 413647A0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[5472] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 0A60000A
.text C:\Programme\Internet Explorer\iexplore.exe[5472] WS2_32.dll!connect 71A14A07 5 Bytes JMP 0A5F000A
.text C:\Programme\Internet Explorer\iexplore.exe[5472] WS2_32.dll!send 71A14C27 5 Bytes JMP 0A61000A
.text C:\Programme\Internet Explorer\iexplore.exe[5472] WS2_32.dll!recv 71A1676F 5 Bytes JMP 0938000A
.text C:\WINDOWS\system32\SearchIndexer.exe[5832] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00B1000A
.text C:\WINDOWS\system32\SearchIndexer.exe[5832] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00F11B19 C:\WINDOWS\system32\mssrch.dll (mssrch.lib/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Internet Explorer\iexplore.exe[5472] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTlqjufvbuhd.sys (*** hidden *** ) AE210000-AE22C000 (114688 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [196] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [228] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [1336] 0x00600000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1664] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1768] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1832] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1872] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2736] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2780] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [3064] 0x008A0000
Library \\?\globalroot\systemroot\system32\H8SRTyunmoencyp.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [5472] 0x00CB0000

---- EOF - GMER 1.0.15 ----

Was ich noch vergessen habe. Regelmässig kommt folgender Pop-up:
Microsoft Windows Search Indexer hat ein Problem festgestellt und muss beendet werden.

Hi,

Du hast ein Rootkit auf dem Rechner...

Ist das Log von GMER vollständig?

Probieren wir das hier mal aus (wobei es sich anscheinend um eine neue Variante handelt):


Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html)



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

Hi,

mittlerweile hab ich noch ein viel größeres Problem.
Der Rechner lässt sich gar nicht mehr starten. Das Windows XP Logo erscheint noch, danach macht er einen Chkdsk und bricht dann mit einem kurzen blauen Screen ab und bootet neu. Das macht er bei allen Startmethoden (gesicherter Modus, letzte Konfig, etc).
Auch ein reparieren mit der XP CD brachte nichts.

Kann man da noch was retten?

Ben

Hi,

hast Du schon eine Reparaturinstallation versucht oder versucht in den abgesicherten Modus (F8 beim Booten) zu kommen?

Wenn ja, lege trotzdem die XP-Bootcd ein, gehe in die Rttungskonsole und versuche per Hand die atapi.sys
überzubügeln wie folgt:
Per Hand Treiber kopieren (atapi.sys etc.)

Code: Alles auswählenAufklappen

ATTFilter

expand c:\WINDOWS\ServicePackFiles\i386\atapi.sy_ c:\windows\system32\atapi.sys
oder
expand X:\i386\atapi.sy_ c:\windows\system32\atapi.sys
         

Wobei "X" Dein CD/DVD-Laufwerk ist!
Eventuell kommt es durch die infizierte atapi.sys (ist der Festplattentreiber von Windows!)
auf Deinem Rechner zu Probleme (auch die Malwareprogrammierer machen Fehler!) bzw. funktioniert
der nicht mehr richtig und hat die Festplatte "zerschossen".

Dann funktioniert vielleicht danach das chkdsk wieder!

Wenn das nicht geht, gehen wir vollständig von aussen vor:
Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Schnellanweisung für XP:
Im Groben sieht das so aus;
UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden).
Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)).
Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los.
Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)...

Im dümmsten Fall ist allerdings die Festplatte HW-technisch "verraucht"...

chris